Әкімшіге көмектесу үшін SD-WAN және ДНҚ: сәулет ерекшеліктері және тәжірибе

Қаласаңыз, біздің зертханада қолыңызды тигізетін стенд.

SD-WAN және SD-Access - бұл желілерді құрудың екі түрлі жаңа меншік тәсілі. Болашақта олар бір қабаттас желіге қосылуы керек, бірақ қазір олар жақындап келеді. Логика мынада: біз 1990 жылдардағы желіні алып, оған барлық қажетті патчтар мен мүмкіндіктерді шығарамыз, оның тағы 10 жылдан кейін жаңа ашық стандартқа айналуын күтпейміз.

SD-WAN – таратылған кәсіпорын желілеріне арналған SDN патч. Тасымалдау бөлек, басқару бөлек, сондықтан басқару жеңілдетілген.

Артықшылықтары - барлық байланыс арналары белсенді қолданылады, соның ішінде сақтық көшірме. Бағдарламаларға пакеттерді бағыттау бар: не, қай арна арқылы және қандай басымдықпен. Жаңа нүктелерді орналастырудың оңайлатылған процедурасы: конфигурацияны шығарудың орнына үлкен Интернеттегі Cisco серверінің мекенжайын, CROC деректер орталығында немесе желіңізге арнайы конфигурациялар алынған тұтынушыны көрсетіңіз.

SD-Access (DNA) – жергілікті желіні басқаруды автоматтандыру: бір нүктеден конфигурациялау, шеберлер, ыңғайлы интерфейстер. Шын мәнінде, басқа желі сіздің үстіңгі жағында протокол деңгейінде басқа тасымалдаумен салынған және периметрлік шекараларда ескі желілермен үйлесімділік қамтамасыз етілген.

Төменде біз мұнымен де айналысамыз.

Енді зертханамыздағы сынақ стендтерінде оның қалай көрінетіні мен жұмыс істейтіні туралы бірнеше демонстрациялар.

SD-WAN-дан бастайық. Негізгі ерекшеліктері:

• Жаңа нүктелерді орналастыруды жеңілдету (ZTP) - сіз қандай да бір жолмен нүктені параметрлері бар сервер мекенжайымен қамтамасыз етесіз деп болжанады. Нүкте оны қағып, конфигурацияны алады, оны айналдырады және басқару тақтасына қосылады. Бұл Zero-Touch Provisioning (ZTP) қамтамасыз етеді. Соңғы нүктені орналастыру үшін желі инженеріне сайтқа барудың қажеті жоқ. Ең бастысы, құрылғыны сайтта дұрыс қосу және оған барлық кабельдерді қосу, содан кейін жабдық жүйеге автоматты түрде қосылады. Сіз конфигурацияларды DNS сұраулары арқылы жеткізушінің бұлтындағы қосылған USB дискісінен жүктей аласыз немесе Wi-Fi немесе Ethernet арқылы құрылғыға қосылған ноутбуктен гиперсілтемені аша аласыз.
• Қалыпты желі әкімшілігін жеңілдету – үлгілерден конфигурациялау, кем дегенде 5 000 филиал үшін орталықтандырылған конфигурацияланған жаһандық саясаттар. Барлығы бір жерден. Ұзақ жолды болдырмау үшін алдыңғы конфигурацияға автоматты түрде оралу үшін өте ыңғайлы опция бар.
• Қолданба деңгейіндегі трафикті басқару — сапалы және үздіксіз қолданба қолтаңбасының жаңартуларын қамтамасыз ету. Саясат орталықтан конфигурацияланады және таратылады (бұрынғыдай әрбір маршрутизатор үшін маршрут карталарын жазу және жаңарту қажет емес). Кім нені, қайда және не жіберіп жатқанын көруге болады.
• Желіні сегменттеу. Бүкіл инфрақұрылымның жоғарғы жағындағы тәуелсіз оқшауланған VPN - әрқайсысының өз маршруттары бар. Әдепкі бойынша, олардың арасындағы трафик жабық; сіз түсінікті желі түйіндеріндегі трафиктің түсінікті түрлеріне ғана қол жеткізе аласыз, мысалы, барлығын үлкен брандмауэр немесе прокси арқылы өткізу.
• Желі сапасы тарихының көрінуі - қолданбалар мен арналардың қалай орындағаны. Пайдаланушылар қолданбалардың тұрақсыз жұмысы туралы шағымдарды ала бастағанға дейін жағдайды талдау және түзету үшін өте пайдалы.
• Арналар бойынша көріну - олар ақшаға тұрарлық па, сіздің сайтыңызға екі түрлі оператор келеді ме, әлде олар бір желі арқылы өтіп, бір уақытта нашарлайды/құлайды.
• Бұлттық қолданбалардың көрінуі және оған негізделген белгілі бір арналар арқылы трафикті басқару (Cloud Onramp).
• Аппараттық құралдың бір бөлігі маршрутизатор мен брандмауэрді (дәлірек айтқанда, NGFW) қамтиды. Аппараттық құралдардың аз бөлігі жаңа филиал ашу арзанырақ дегенді білдіреді.

SD-WAN шешімдерінің құрамдас бөліктері мен архитектурасы

Соңғы құрылғылар WAN маршрутизаторлары болып табылады, олар аппараттық немесе виртуалды болуы мүмкін.

Оркестрлер желіні басқару құралы болып табылады. Олар соңғы құрылғы параметрлерімен, трафикті бағыттау саясаттарымен және қауіпсіздік функцияларымен конфигурацияланады. Алынған конфигурациялар басқару желісі арқылы түйіндерге автоматты түрде жіберіледі. Параллельді түрде оркестр желіні тыңдайды және құрылғылардың, порттардың, байланыс арналарының және интерфейстің жүктелуінің қолжетімділігін бақылайды.

Аналитикалық құралдар. Олар соңғы құрылғылардан жиналған деректер негізінде есептер жасайды: арналар сапасының тарихы, желілік қолданбалар, түйіндердің қолжетімділігі және т.б.

Контроллерлер желіге трафикті бағыттау саясатын қолдануға жауапты. Олардың дәстүрлі желілердегі ең жақын аналогы BGP Route Reflector деп санауға болады. Әкімші оркестрде конфигурациялайтын жаһандық саясаттар контроллерлерге маршруттау кестелерінің құрамын өзгертуге және соңғы құрылғыларға жаңартылған ақпаратты жіберуге себеп болады.

IT қызметі SD-WAN жүйесінен не алады:

1. Сақтық көшірме арнасы үнемі пайдаланылады (бос емес). Бұл арзанырақ болып шықты, өйткені сізде қалың емес екі арнаны алуға болады.
2. Арналар арасындағы қолданба трафигін автоматты түрде ауыстыру.
3. Әкімші уақыты: конфигурациялары бар аппараттық құралдың әрбір бөлігін қарап шығудың орнына желіні жаһандық деңгейде дамыта аласыз.
4. Жаңа филиалдарды көтеру жылдамдығы. Оның бойы әлдеқайда ұзын.
5. Өлген жабдықты ауыстыру кезінде аз тоқтау.
6. Жаңа қызметтер үшін желіні жылдам қайта конфигурациялаңыз.

SD-WAN-дан бизнес не алады:

1. Бөлінген желіде, оның ішінде ашық интернет арналары арқылы іскерлік қосымшалардың кепілдік берілген жұмысы. Бұл бизнестің болжамдылығы туралы.
2. Филиалдар санына қарамастан, бүкіл таратылған желіде жаңа бизнес қолданбаларына жедел қолдау көрсету. Бұл бизнес жылдамдығы туралы.
3. Кез келген қосылу технологияларын пайдалана отырып, кез келген шалғай орналасқан жерлерде филиалдарды жылдам және қауіпсіз қосу (Интернет барлық жерде бар, бірақ жалға алынған желілер мен VPN жоқ). Бұл орынды таңдаудағы бизнестің икемділігі туралы.
4. Бұл жеткізу және пайдалануға беру бар жоба болуы мүмкін немесе бұл қызмет болуы мүмкін
   IT компаниясынан, байланыс операторынан немесе бұлттық оператордан ай сайынғы төлемдермен. Сізге қайсысы ыңғайлы болса.

SD-WAN іскерлік артықшылықтары мүлдем басқаша болуы мүмкін, мысалы, бір тұтынушы бізге топ-менеджердің мыңдаған компанияның барлық қызметкерлерімен тікелей байланысқа және мазмұнды жеткізу мүмкіндігіне сұраныс алғанын айтты.

Біз үшін бұл «әскери операция» болды. Ол кезде біз ОКҚ жаңғырту мәселесін шешіп жатқан едік. Ал біз, негізінен, жабдықты жаңартумен айналысуымыз керек екенін түсінген кезде және технология стек алға жылжыды, егер біз алға қадам жасай алатын болсақ, неге сол технологиялар мен қызметтерді жаңартумен айналысуымыз керек.

SD-WAN сайтында Enikey арқылы орнатылған. Бұл қарапайым әкімші болмауы мүмкін қашықтағы филиалдар үшін маңызды. Пошта арқылы жіберіңіз, айтыңыз: «1-кабельді 1-ші қорапқа, 2-кабельді 2-ші қорапқа қосыңыз және оны араластырмаңыз! Шатаспаңыз, #@$@%!» Егер олар оны араластырмаса, құрылғының өзі орталық сервермен байланысады, оның конфигурацияларын таңдап, қолданады және бұл кеңсе компанияның қауіпсіз желісінің бөлігі болады. Сізге саяхаттаудың қажеті жоқ кезде жақсы және бюджетіңізді ақтау оңай.

Міне стендтің диаграммасы:

Кейбір конфигурация мысалдары:

Саясат – трафикті басқарудың жаһандық ережелері. Саясатты өңдеу.

Жол қозғалысын басқару саясатын белсендіріңіз.

Негізгі құрылғы параметрлерінің жаппай конфигурациясы (IP мекенжайлары, DHCP пулдары).

Қолданба өнімділігін бақылаудың скриншоттары

Бұлтты қолданбаларға арналған.

Office365 мәліметтері.

Жергілікті қолданбалар үшін. Өкінішке орай, стендімізде қателері бар қолданбаларды таба алмадық (FEC қалпына келтіру жылдамдығы барлық жерде нөлге тең).

Қосымша – деректерді беру арналарының өнімділігі.

SD-WAN жүйесінде қандай жабдыққа қолдау көрсетіледі

1. Аппараттық платформалар:

• Viptela ОЖ жұмыс істейтін Cisco vEdge маршрутизаторлары (бұрынғы Viptela vEdge).
• IOS XE SD-WAN жүйесімен жұмыс істейтін 1 және 000 сериялы Integrated Services Routers (ISRs).
• Aggregation Services Router (ASR) IOS XE SD-WAN жүйесімен жұмыс істейтін 1 сериясы.

2. Виртуалды платформалар:

• IOS XE SD-WAN жүйесінде жұмыс істейтін Cloud Services Router (CSR) 1v.
• Viptela ОЖ жұмыс істейтін vEdge Cloud Router.

Виртуалды платформаларды Enterprise Network Compute System (ENCS) 86 сериясы, Бірыңғай есептеу жүйесі (UCS) және Cloud Services Platform (CSP) 5 сериясы сияқты Cisco x000 есептеу платформаларында қолдануға болады. Виртуалды платформалар кез келген x5 құрылғысында да жұмыс істей алады. KVM немесе VMware ESi сияқты гипервизорды пайдалану.

Жаңа құрылғы қалай жұмыс істейді

Орналастыруға арналған лицензияланған құрылғылар тізімі Cisco смарт тіркелгісінен жүктеледі немесе CSV файлы ретінде жүктеледі. Мен скриншоттарды кейінірек алуға тырысамын, дәл қазір бізде орналастыруға жаңа құрылғылар жоқ.

Орналастыру кезінде құрылғы өтетін қадамдар тізбегі.

Жаңа құрылғы/конфигурацияны жеткізу әдісі қалай шығарылады

Біз құрылғыларды Smart есептік жазбаға қосамыз.

CSV файлын жүктеп алуға болады немесе бір уақытта жүктеп алуға болады:

Құрылғы параметрлерін толтырыңыз:

Әрі қарай, vManage бағдарламасында біз деректерді Smart тіркелгімен синхрондаймыз. Құрылғы тізімде пайда болады:

Құрылғыға қарама-қарсы ашылмалы мәзірде Жүктеу конфигурациясын жасау түймесін басыңыз
және бастапқы конфигурацияны алыңыз:

Бұл конфигурация құрылғыға берілуі керек. Ең оңай жолы - ciscosd-wan.cfg деп аталатын сақталған файлы бар флэш-дискіні құрылғыға қосу. Жүктеу кезінде құрылғы осы файлды іздейді.

Бастапқы конфигурацияны алғаннан кейін құрылғы оркестрге жетіп, сол жерден толық конфигурацияны ала алады.

Біз SD-Access (ДНҚ) қарастырамыз

SD-Access порттарды конфигурациялауды және пайдаланушыларды қосу үшін кіру құқықтарын жеңілдетеді. Бұл шеберлердің көмегімен жасалады. Порт параметрлері VLAN және IP ішкі желілеріне емес, «Әкімшілер», «Бухгалтерлік есеп», «Принтерлер» топтарына қатысты орнатылады. Бұл адам қателерін азайтады. Егер, мысалы, компанияның Ресей бойынша көптеген филиалдары болса, бірақ орталық кеңсе шамадан тыс жүктелсе, SD-Access жергілікті жерде көбірек мәселелерді шешуге мүмкіндік береді. Мысалы, ақауларды жоюға қатысты бірдей мәселелер.

Ақпараттық қауіпсіздік үшін SD-Access пайдаланушылар мен құрылғыларды топтарға нақты бөлуді және олардың арасындағы өзара әрекеттесу саясаттарын анықтауды, желіге кез келген клиенттік қосылуға авторизацияны және бүкіл желіде «қолжеткізу құқықтарын» қамтамасыз етуді қамтитыны маңызды. Егер сіз осы тәсілді ұстанатын болсаңыз, басқару әлдеқайда жеңіл болады.

Коммутаторлардағы Plug-and-Play агенттерінің арқасында жаңа кеңселерді іске қосу процесі де жеңілдетілді. Консольмен ел аралап жүгірудің, тіпті сайтқа барудың қажеті жоқ.

Мұнда конфигурация мысалдары берілген:

Жалпы статус.

Әкімші қарауы тиіс оқиғалар.

Конфигурацияларда нені өзгерту керектігі туралы автоматты ұсыныстар.

SD-WAN және SD-Access біріктіру жоспары

Мен Cisco-да мұндай жоспарлар бар деп естідім - SD-WAN және SD-Access. Бұл географиялық таралған және жергілікті CSPD-ны басқарған кезде геморройды айтарлықтай азайтуы керек.

vManage (SD-WAN оркестрі) DNA Center API арқылы басқарылады (SD-Access контроллері).

Микро және макросегменттеу саясаты төмендегідей картаға түсірілген:

Пакет деңгейінде бәрі келесідей көрінеді:

Бұл туралы кім және не ойлайды?

Біз SD-WAN бойынша 2016 жылдан бері жеке зертханада жұмыс істеп жатырмыз, онда бөлшек сауда, банктер, көлік және өнеркәсіп қажеттіліктері үшін әртүрлі шешімдерді сынаймыз.

Біз нақты тұтынушылармен көп араласамыз.

Бөлшек сауда қазірдің өзінде SD-WAN-ды сенімді түрде сынап жатыр деп айта аламын, ал кейбіреулері мұны сатушылармен (көбінесе Cisco-да) жасайды, бірақ мәселені өз бетімен шешуге тырысатындар да бар: олар өздерінің жеке нұсқасын жазып жатыр. SD-WAN функциясына ұқсас бағдарламалық құрал.

Кез келген адам, қалай болғанда да, бүкіл хайуанаттар бағын орталықтандырылған басқаруға қол жеткізгісі келеді. Бұл стандартты емес қондырғыларды басқарудың бір нүктесі және әртүрлі жеткізушілер мен әртүрлі технологиялар үшін стандартты қондырғылар. Қол жұмысын барынша азайту маңызды, себебі, біріншіден, ол жабдықты орнату кезінде адам факторының қаупін азайтады, екіншіден, басқа міндеттерді шешу үшін АТ қызметінің ресурстарын босатады. Әдетте, қажеттілікті тану бүкіл ел бойынша өте ұзақ жаңарту циклдарынан келеді. Ал, мысалы, бөлшек саудагер алкогольді сататын болса, онда сату үшін тұрақты байланыс қажет. Күн ішінде жаңарту немесе тоқтап қалу кіріске тікелей әсер етеді.

Қазір бөлшек саудада SD-WAN қандай АТ тапсырмалары қолданылатыны туралы нақты түсінік бар:

1. Жылдам орналастыру (көбінесе кабельдік провайдер келгенге дейін LTE-де қажет, көбінесе қаладағы әкімші GPC арқылы жаңа нүктені көтеруі керек, содан кейін орталық жай қарап, конфигурациялайды).
2. Орталықтандырылған басқару, бөгде объектілер үшін байланыс.
3. Телекоммуникациялық шығындарды азайту.
4. Әртүрлі қосымша қызметтер (DPI мүмкіндіктері кассалық машиналар сияқты маңызды қолданбалардан трафикті жеткізуге басымдық беруге мүмкіндік береді).
5. Арналармен қолмен емес, автоматты түрде жұмыс жасаңыз.

Сондай-ақ сәйкестікті тексеру бар - бәрі бұл туралы көп айтады, бірақ оны ешкім проблема ретінде қабылдамайды. Барлығы дұрыс жұмыс істейтінін сақтау осы парадигмада жақсы жұмыс істейді. Көптеген желілік технологиялар нарығының барлығы осы бағытта қозғалады деп сенеді.

Банктер, IMHO, қазіргі уақытта SD-WAN-ды жаңа технологиялық мүмкіндік ретінде сынап жатыр. Олар жабдықтың алдыңғы буындарына қолдау көрсетудің аяқталуын күтуде, содан кейін ғана олар өзгереді. Банктердің әдетте байланыс арналары арқылы өзіндік ерекше атмосферасы бар, сондықтан саланың қазіргі жағдайы оларды қатты алаңдатпайды. Мәселелер басқа ұшақтарда жатыр.

Ресей нарығынан айырмашылығы, SD-WAN Еуропада белсенді түрде енгізілуде. Олардың байланыс арналары қымбатырақ, сондықтан еуропалық компаниялар өздерінің стектерін ресейлік бөлімшелерге жеткізеді. Ресейде белгілі бір тұрақтылық бар, өйткені арналардың құны (тіпті аймақ орталыққа қарағанда 25 есе қымбат болса да) қалыпты көрінеді және сұрақ тудырмайды. Жылдан жылға байланыс арналарына сөзсіз бюджет бөлінуде.

Мұнда Cisco-да SD-WAN көмегімен компания уақыт пен ақшаны үнемдеген әлемдік тәжірибеден мысал келтірілген.

Мұндай компания бар - National Instruments. Белгілі бір сәтте олар бүкіл әлем бойынша 88 сайтты біріктіру арқылы «алынған» ғаламдық компьютерлік желінің тиімсіз екенін түсіне бастады. Сонымен қатар, компанияның тұрмыстық ыстық сумен қамтамасыз ету мүмкіндігі мен өнімділігі жетіспеді. Компанияның үздіксіз өсуі мен шектеулі IT бюджеті арасында теңгерім болмады.

SD-WAN Ұлттық құралдарға MPLS шығындарын 25%-ға азайтуға (450 жылдың соңында 2018 3 АҚШ долларын үнемдеуге) көмектесті, өткізу қабілеттілігін 075 XNUMX%-ға кеңейтті.

SD-WAN енгізу нәтижесінде компания трафикті және қолданбаның өнімділігін автоматты түрде оңтайландыру үшін смарт бағдарламалық құралмен анықталған желіні және орталықтандырылған саясатты басқаруды алды. Мұнда - егжей-тегжейлі жағдай.

Мұнда S7-ні басқа кеңсеге ауыстырудың өте ақылсыз оқиғасы, басында бәрі қиын, бірақ қызықты басталған кезде - 1,5 мың портты қайта жасау қажет болды. Бірақ содан кейін бірдеңе дұрыс болмады және нәтижесінде әкімшілер барлық жинақталған кешігулер түсетін мерзімге дейін соңғы болып шықты.

Толығырақ ағылшын тілінде оқыңыз:

• Американдық банкир: Бесінші үшінші SD-WAN арқылы 5 жылдық желіні жаңартуға инвестиция салады .
• Кохта бұлтты SD-WAN сәтті құру.
• McKesson's SD-WAN саяхаты шығындарды үнемдеуге .
• SD-WAN бөлшек сауда PoC және сегменттеу: Gap Stores.
• Ал міне Cisco жаһандық зерттеу әлемдегі желілік трендтер туралы.

Орыс тілінде:

• CNews арнасында.
• SD-Access-ті қалай енгіздік және ол не үшін қажет болды.
• Cisco ACI деректер орталығына арналған желілік мата - әкімшіге көмектесу үшін.
• Бағдарламалық құралмен анықталған SD-WAN желілеріне негізделген тұрақты арна: маршрут таңдау мәселелерін шешу.
• Менің электрондық поштам, егер сізде сұрақтарыңыз болса немесе біздің стендте тапсырмаларыңызды тексергіңіз келсе, - [электрондық пошта қорғалған].

Ақпарат көзі: www.habr.com